Guida GDPR

Guida GDPR: cos’è?

Questa guida GDPR fornisce i primi elementi per affrontare il tema in modo efficace ed orientarsi in mezzo al mare di offerte e articoli che sono comparsi negli ultimi mesi.

Il GDPR (General Data Protection Regulation) o RGPD (Regolamento Generale sulla Protezione dei Dati) rende omogenea la protezione dei dati personali dei cittadini dell’Unione Europea. Esso inizierà ad avere efficacia il 25 Maggio 2018.

Il principali riferimento normativo è Regolamento UE 2016/679 che, in Italia, abrogherà le norme del Codice per la Protezione dei Dati Personali (dlgs.n. 196/2003).
Sempre in Italia l’ Autorità Garante della Privacy fornisce le linee guida per l’interpretazione del GDPR, oltre che risorse utili. Tale autorità è anche preposta alla vigilanza sul rispetto del regolamento da parte di organizzazioni e persone fisiche.

Gli obblighi per aziende e PA

A causa delle pesanti sanzioni introdotte (fino al 4% dell’intero fatturato) è bene conoscere il regolamento.
Per comprendere meglio gli obblighi introduciamo i seguenti concetti:

  • Soggetti della Privacy
    • Interessato: la persona fisica a cui si riferiscono i dati personali
    • Incaricato: dipendente o collaboratore che elabora o utilizza materialmente i dati per conto del titolare
    • Titolare: la persona fisica, l’ente, l’associazione ecc. a cui fa capo il trattamento dei dati
  • Tipi di dato
    • Personale: dati che consentono l’identificazione della persona fisica a cui si riferiscono (es. nome, cognome, indirizzo ecc.)
    • Sensibile: sono i dati che richiedono maggiori cautele come ad esempio convinzioni politiche, origine etnica, convinzioni politiche o religiose ecc.
    • Giudiziario: dati che rivelano l’esistenza di provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (es. condanne penali definitive, misure alternative di detenzione ecc.)

Di seguito vengono riportati sommariamente i principali obblighi introdotti dal GDPR:

  • Valutazione di impatto della protezione dei dati o Privacy Impact Assessment (PIA): valutare periodicamente i rischi connessi alla gestione Privacy, misure di mitigazione adottate e piani di disaster recovery. 
  • Redazione di un Registro dei trattamenti: ovvero tenere traccia di quali dati si posseggono, con quali diritti, per quanto tempo e per quale scopo
  • Comunicazione tempestiva in caso di Data Breach all’autorità competente e all’interessato in base a quanto previsto dalle linee guida del Garante della privacy.
  • Garantire il Diritto alla cancellazione, Limitazione, rettifica dei dati, a fronte di una richiesta dell’interessato
  • Nomina di un Responsabile per la protezione dei dati o Data Protection Officer (DPO)
  • Garantire la Portabilità dei dati

Come affrontare il GDPR

Per affrontare correttamente il GDPR ed essere compliant occorre partire dalla valutazione di impatto o PIA. Tale attività dovrebbe coinvolgere l’organizzazione a tutti i livelli e può essere anche una occasione di miglioramento dei processi aziendali se eseguita correttamente.

A valle di ciò bisogna effettuare una gap analysis, ovvero confrontare l’esito della PIA (lo stato attuale) con quanto richiesto dal regolamento privacy e concepire un piano di miglioramento (se necessario) sia in termini di processi che di competenze e tecnologie. Esistono inoltre diverse soluzioni tecnologiche utili per il supporto alla gestione della privacy.

JS Italy aiuta le organizzazioni ad affrontare il GDPR, sia con attività di consulenza che con la fornitura di soluzioni tecnologiche tramite i suoi partner. In tal senso consigliamo di consultare la nostra offerta GDPR o di contattarci direttamente per approfondire i temi trattati in questa guida GDPR.